About these ads


Posts Tagged ‘Spam’

16-31 January 2013 Cyber Attacks Timeline

February 7, 2013 1 comment

Two Weeks Living Dangerously! I have no other words to describe this second half of January (first two weeks here) that has shown an unprecedented level of attacks! And if a good day starts with the morning, this will be a very troubled year from an information security perspective.

Not only the peaks of DDoS attacks against the US Banks have reached an unstoppable peak, but, most of all, at the end of the month details have been unveiled about a massive cyber-espionage campaign allegedly orchestrated by Chinese hackers against some major US media including The New York Times, The Wall Street Journal, The Washington Post and Bloomberg News.

A very very long list of targets this month, with some high profile victims such as the U.S. Sentencing Commission, whose web site has been hacked twice and turned into an Asteroid game, but also Renault Argentina that suffered 37,000 accounts leaked.

To summarize this month is really impossible, you just have to scroll down the timeline to realize the hacking spree in this January 2013.

If this trend continues, I will have to decrease the frequency of publication…

If you want to have an idea of how fragile our data are inside the cyberspace, have a look at the timelines of the main Cyber Attacks in 2011 and 2012 and the related statistics (regularly updated), and follow @paulsparrows on Twitter for the latest updates.

Also, feel free to submit remarkable incidents that in your opinion deserve to be included in the timelines (and charts). To do so, you can use this form.

16-31 January 2013 Cyber Attacks Timeline

Read more…

About these ads
Categories: Cyber Attacks Timeline, Security Tags: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Beware Of Linkedin Scams

May 11, 2012 1 comment

You know, social media have become the last fronteer of spam and and scam. Yesterday I received a strange message from an unkown (i.e. non-existant, at least when I checked) LinkedIn Profile, inviting me to message my email address for a purpotred “undervalued $tock bid”. In this hard times the perpsective of easy money sounds appealing but…

…Always remember that LinkedIn is particularly attractive for cybercrookers since contacts have a bigger level of trust and confidence and the victims are lead to  lower the barreers of mistrust (the human firewall).

Anyway, in case of suspect messages from LinkedIn always check the LinkedIn Checkbox (in this case, needless to say, the message was not listed, nor was the linkedin profile existant).

Browsing Security Predictions for 2012

January 8, 2012 4 comments

Update 01/11/2012: Year-to-Tear comparison with 2011 Security Predictions

The new year has just come, vacations are over, and, as usually happens in this period, information security professionals use to wonder what the new year will bring them from an infosec perspective. The last year has been rich of events, whose echo is still resounding, and as a consequence, if RSA and Sony breach were not enough, the main (and somehow obvious) question is: will 2012 stop this trend or rather bring it to unprecedented levels, or, in other words, which threat vectors will disturb the (already troubled) administrators’ sleep?

Unfortunately my divination skills are not so developed (in that case I would not be here), but security firms can give a crucial help since they started to unveil their security predictions for 2012, at least since the half of December, so putting them together, and analyzing them is quite a straightforward and amusing task. Maybe even more amusing will be, in twelve years, to see if they were correct or not.

The security prediction that I take into consideration included, at my sole discretion (and in rigorous alphabetical order):

•    Cisco;
•    Fortinet;
•    Kaspersky;
•    McAfee;
•    Sophos;
•    Trend Micro;
•    Websense;

That is the only leader vendors for which I found predictions issued with original documents (feel free to indicate if I missed someone and I will be very glad to include them in the chart).

In any case, the landscape is quite heterogeneous since it encompasses security vendors covering different areas: one vendor, McAfee, covering all the areas (network, endpoint and content security), two vendors and one half focused on network and content security (Cisco, Fortinet and partially Sophos thanks to the Astaro acquisition), and two vendors focused essentially on endpoint security (Kaspersky and Trend Micro).

The following table summarizes their predictions:

In order to correctly understand the chart a premise is needed: as you will probably have already noticed, in several cases the predictions reflect the specific security focus for the analyzed vendor. For instance, Websense is focused on DLP, and that is the reason why the adoption of DLP is one of its predictions. Analogously McAfee is investing huge resources for Security on Silicon, and this implies that embedded systems and Malware Moving Beyond OS are present among its predictions. Same speech could be applied for Trend Micro and its Cloud Prediction and so on.

Some trends for this year are clearly emphasized: easily predictable Hactivism appears on 6 of the 7 vendors, as mobile (with different connotations) does. Social Media is on the spot as well as are SCADA, Embedded Systems and, quite surprisingly in my opinion, cloud. I would have expected a greater impact for APTs, but for a complete and more accurate analysis one should consider them together with threats targeting embedded systems or ICS. Even because according to several security firms, for instance Kasperky, APT Stuxnet-like will be used for tailored campaigns, whilst more “general purpose malware”, including botnets will be used for massive campaigns (this item is summarized as Mass Targeted Campaigns).


Some “old acquaintances” will be with us in 2012: consumerization, at least according to Sophos and Trend Micro (even if consumerization is strictly connected, if not overlapped with mobile) and, if the Comodo and Diginotar affaires were not enough, Rogue Certificates, according to McAfee. Instead some “new entries” are absolutely interesting, such as the threats related to NFC (even if in this case I would have expected a greater impact) or related to Virtual Currency. Besides let us hope that the prediction to adopt DNSSEC be more than a prediction but a consolidated practice.

The most conservative security firm? In my opinion Cisco. The most “visionary”? Maybe Fortinet, I found the “Crime as a Service (CaaS)” absolutely awesome, and most of all not so visionary, since there are already some (even if clumsy) attempts.

In any case with this plenty of Cyber Nightmares is not a surprise the fact the Enterprise security market is going to reach $23 billion worldwide in 2012 with a 8.7% growth year-on-year.

An E-mail Attack to Ground Zero

September 11, 2011 1 comment

Easily Predictable, the 10th 9/11 anniversary turned out to be a too tempting opportunity for unscrupulous hackers and cyber pranksters. Probably the NBC News Twitter account (and its 130,000 followers) will remember this anniversary eve for a long time after, late on Friday September the 9th, the Twitter account started to tweet false reports of a plane attack on ground zero.

Original Image by Naked Security

Although there were some misplaced details on the tweets, few minutes later the Company Chief Digital Officer, admitted the account was hacked, asking their followers not to retweet the bogus tweets:

The account was suspended and restored after few minutes, and you will probably remember that the misplaced detail, that is The Script Kiddies who claimed to have hacked the account, are not new to such similar actions since they already hacked the FOX News political account on July, the 4th 2011, announcing a bogus report on Mr. Obama death.

This is not a coincidence, probably the hacker(s), a splinter cell of Anonymous and LulzSec have exploited the same (human?) vulnerability. The NBC News account is tightly controlled and only three NBC News executives have the password.

One of them, Ryan Osborn, the NBC director of social media, said he was monitoring the account at the time and noticed the bogus messages within seconds, noticing that the password to NBC News’ Twitter account had been altered. He immediately contacted Twitter, which shut the account down eight minutes after the tweets appeared.

But there is a further particular: although the warning on easily predictable 9/11 scams, Osborn said he recently received a suspicious email as Hurricane Irene was approaching New York. The email came from an unknown sender with the subject “Hurricane Alert” and the message:

Ryan, You need to get off Twitter immediately and protect your family from the hurricane. That is an order.

Osborn wrote back “I’m sorry. Who is this?” and the sender then replied:

I’m the girl next door

with an attachment. Osborn said he mistakenly clicked on the attachment and it contained a Christmas tree.

Probably that click was fatal and injected a Trojan Keylogger on Osborn’s PC, which was used to steal the password.

The FBI is investigating the NBC News Twitter account hacking but one thing is clear: Twitter accounts are becoming a preferred target for this kind of hacks, they allow to reach a wide audience in few seconds with the double result to quickly (and virally) spread panic among followers and amplify the echo (and visibility) of the attack. Moreover, there is no need to perpetrate huge attacks to compromise the server infrastructure since the entry point is human and human defenses have proven to be extremely much weaker and easy to penetrate (a simple email is enough) than digital defenses.

Last but not least, this is only the latest occurrence of an attack carried on via malicious attachments which are being deployed to carry on complex multilayered attacks (as in case of RSA Breach), or simple questionable pranks (as in case of NBC News or Fox News).

I miss the good old days when the threat via e-mail could be at most spam…

Lo Smartphone? Ha fatto il BOT!

February 23, 2011 2 comments

E’ stato appena pubblicato un interessante articolo di Georgia Weidman relativo al concept di una botnet di smartphone controllati tramite SMS. Il lavoro, annunciato alla fine del mese di gennaio 2011 e presentato alla Shmoocon di Washington, aveva da subito attirato la mia attenzione poiché, in tempi non sospetti, avevo ipotizzato che la concomitanza di fattori quali la crescente potenza di calcolo dei dispositivi mobili e la loro diffusione esponenziale, avrebbe presto portato alla nascita di possibili eserciti di Androidi (o Mele) controllate da remoto in grado di eseguire la volontà del proprio padrone.

Il modello di mobile bot ipotizzato (per cui è stato sviluppato un Proof-Of-Concept per diverse piattaforme) è molto raffinato e prevede il controllo dei terminali compromessi da parte di un server C&C di Comando e Controllo, mediante messaggi SMS (con una struttura di controllo gerarchica), che vengono intercettati da un livello applicativo malevolo posizionato tra il driver GSM ed il livello applicativo. La scelta degli SMS come mezzo di trasmissione (che in questo modello di controllo assurgono al ruolo di indirizzi IP) è dovuto all’esigenza di rendere quanto più possibile trasparente il meccanismo di controllo per utenti e operatori (l’alternativa sarebbe quella del controllo tramite una connessione  dati che tuttavia desterebbe presto l’attenzione dell’utente per l’aumento sospetto di consumo della batteria che non è mai troppo per gli Androidi e i Melafonini ubriaconi). Naturalmente il livello applicativo malevolo è completamente trasparente per l’utente e del tutto inerme nel processare i dati e gli SMS leciti e passarli correttamente al livello applicativo senza destare sospetti.

Georgia Weidman non ha trascurato proprio nulla e nel suo modello ipotizza una struttura gerarchica a tre livelli:

  • Il primo livello è composto dai Master Bot, controllati direttamente dagli “ammucchiatori”. I Master Bot non sono necessariamente terminali (nemmeno compromessi), ma dovendo impartire ordini via SMS possono essere dispositivi qualsiasi dotati di un Modem;
  • Il secondo livello è composto dai Sentinel Bot: questi agiscono come proxy tra i master e l’esercito di terminali compromessi. Le sentinelle devono essere dispositivi “di fiducia”, ovvero dispositivi sotto il diretto controllo degli “ammucchiatori” o membri della botnet da un periodo di tempo sufficientemente lungo da far ritenere che l’infezione sia ormai passata inosservata per il proprietario e degna pertanto di promuoverli al ruolo di sentinelle.
  • Il terzo livello è composto dagli slave bot. I veri e propri soldati dell’esercito di terminali compromessi che ricevono le istruzioni dalla sentinelle ed eseguono il volere del capo.

Da notare che questo modello gerarchico applica il paradigma del “divide et impera”. I terminali compromessi slave non comunicano mai direttamente con il master, e solo quest’ultimo, inoltre, conosce la struttura dell’intera botnet. L’utilizzo del SMS inoltre consente al master di poter cambiare numero di telefono all’occorrenza ed eludere così le forze del bene, ovvero gli eventuali cacciatori di bot.

Ovviamente tutte le comunicazioni avvengono tramite SMS cifrati (con un algoritmo di cifratura a chiave asimmetrica) e autenticati, inoltre la scoperta di un telefono infetto non pregiudica l’intera rete di terminali compromessi ma solo il segmento controllato dalla sentinella di riferimento (il master può sempre cambiare numero).

Quali possono essere gli utilizzi di una botnet così strutturata? Naturalmente rubare informazioni, per fini personali o di qualsiasi altro tipo (politici, economici, etc.). Purtroppo, per questa classe di dispositivi, che stanno trovando sempre di più applicazioni verso i livelli alti di una Organizzazione, gli exploit e i bachi sono all’ordine del giorno per cui teoricamente sarebbe possibile rubare il contenuto della memoria SD con un semplice SMS. Ma non finisce qui purtroppo: considerata la potenza di calcolo (abbiamo ormai un PC nel taschino) e la potenza di calcolo, questi dispositivi possono essere facilmente usati come seminatori di traffico, ovvero sorgenti di attacchi di tipo DDoS (Distributed Denial of Service), specialmente nel caso di connessioni Wi-Fi che si appoggiano su un operatore fisso  che offre possibilità  di banda maggiori e quindi più consone ad un attacco di tipo Distributed Denial Of Service. Questo si sposa perfettamente con la dinamicità di una botnet basata su SMS (in cui il master può cambiare numero per nascondersi) e con le infrastrutture degli operatori mobili (o fissi offerenti servizi Wi-Fi) che potrebbero non essere completamente pronte per affrontare simili tipologie di eventi informatici (come anche evidenziato dal recente report di Arbor Networks). Altra nefasta applicazione potrebbe essere lo spam, soprattutto se effettuato tramite SMS. Interessante inoltre la combinazione con il GPS che potrebbe portare al blocco totale delle comunicazioni GSM in determinate circostanze spazio-temporali (sembra fantapolitica ma è comunque teoricamente possibile).

Rimane ora l’ultimo punto che era rimasto in sospeso quando avevo trattato di questo argomento per la prima volta:  mi ero difatti chiesto la questione fondamentale, ovvero se il software malevolo di bot avesse necessità o meno di permessi di root. La risposta è affermativa, ma questo non mitiga la gravità del Proof-Of-Concept, ribadisce anzi l’importanza di un concetto fondamentale: alla base della sicurezza c’è sempre l’utente, il cui controllo sovrasta anche i meccanismi di sicurezza del sistema operativo, e questo non solo perché ancora una volta viene evidenziata drammaticamente la pericolosità di pratiche “smanettone” sui propri dispositivi (che possono avere conseguenze ancora più gravi se il terminale è usato per scopi professionali), ma anche perché gli utenti devono prendere consapevolezza del modello di sicurezza necessario, facendo attenzione alle applicazioni installate.

Lato operatori, urge l’assicurazione che gli aggiornamenti di sicurezza raggiungano sempre i dispositivi non appena rilasciati. Aggiungerei inoltre, sulla scia di quanto dichiarato da Arbor Networks, possibili investimenti infrastrutturali per l’eventuale rilevazione di eventi anomali dentro i propri confini.

A questo punto, il fatto che i produttori di sicurezza abbiano, quasi all’unanimità, inserito il mondo mobile al centro delle preoccupazioni di sicurezza per il 2011 perde qualsiasi dubbio sul fatto che si tratti di una moda passeggera, ed è asupicabile che  gli stessi stiano già correndo ai ripari, aggiungendo livelli di sicurezza aggiuntivi ai meccanismi intrinseci del sistema operativo con l’ausilio di tecnologie di DLP (come indicato dal report Cisco per il 2011), virtualizzazione e integrando sempre di più tecnologie di sicurezza nei dispositivi: ultimo annuncio in ordine di tempo? Quello di McAfee Intel che si dimostra, ancora una volta, molto attiva nel settore mobile.

Report McAfee Q4 2010: Il Malware è Mobile Qual Piuma Al Vento!

February 9, 2011 3 comments

I Laboratori McAfee hanno appena pubblicato il report relativo alle minacce informatiche del quarto trimestre 2010 (McAfee Q4 Threat Report). Oramai sembra un immancabile e monotono refrain ma, tanto per cambiare, nel corso dell’ultimo scorcio del 2010 i malware per i dispositivi mobili l’hanno immancabilmente fatta da padroni.

I dati sono impressionanti: le infezioni dei dispositivi mobili nel corso del 2010 sono cresciute del 46% rispetto all’anno precedente. Nell’anno passato sono stati scoperti 20 milioni di nuovi esemplari di software malevolo, corrispondenti a circa 55.000 nuovi vettori di infezione al giorno. In effetti nel 2010 gli sviluppatori malevoli si sono dati molto da fare se si considera che i Laboratori McAfee hanno identificato in totale 55 milioni di tipologie di malware, da cui su evince che il malware sviluppato nel 2010 corrisponda al 36% del totale.

Una cosa è certa: i cybercriminali si stanno concentrando su dispositivi popolari che garantiscono il  massimo risultato con il minimo sforzo, con una tendenza destinata ad accenturarsi nel 2011 verso un fenomeno che si potrebbe riassumere benissimo con il termine ipocalypse.

I risultati del report si possono così sintetizzare:

Dispositivi mobili sempre più in pericolo per le botnet

Non è una novità, e la mia prima previsione in proposito risale a dicembre 2010 quando, commentando le previsioni di sicurezza Symantec per il 2011, mi ero sbilanciato asserendo che nel corso del 2011 avremmo probabilmente assistito alla nascita di botnet di terminali compromessi. Da lì a breve è stato un climax ascendente che ha portato dapprima alla rilevazione del trojan Geinimi al termine del 2010, ed in seguito alla creazione di un malware botnet-like in laboratorio.

Il report di McAfee conferma questo trend (scusate il gioco di parole), assegna a Geinimi il titolo di una delle minacce più importanti dell’ultimo trimestre 2010, e sancisce perentoriamente che i Cybercriminali utilizzeranno sempre di più, nel corso del 2011, tecniche di botnet per infettare i dispositivi mobili.

I motivi sono presto detti: maggiore popolarità (e portabilità) dei dispositivi mobili come strumenti di lavoro implicano maggiore contenuto sensibile immagazzinato senza le stesse misure di sicurezza e la stessa sensibilità dell’utente (non a caso Geinimi, come anche altre minacce mobili) sono false applicazioni scaricata da market paralleli. D’altronde una botnet di dispositivi mobili ha una duplice valenza malevola: da un lato consente di rubare dati e informazioni sensibili (dalla rubrica alla posizione) dall’altro potrebbe essere utilizzata con intenti malevoli con maggiori capacità di mimetismo all’interno della rete di un operatore mobile (come confermato indirettamente anche dal report di Arbor Networks.

Ad ogni modo nel Q4 2010, Cutwail ha perso lo scettro di botnet più attiva, ad appannaggio della rete di macchine compromesse appartenenti alla rete Rustock, seguita a ruota da Bobax

Almeno una buona notizia, lo Spam è un Periodo di Transizione

Sebbene i mezzi favoriti dai Cybercriminali in questo trimestre siano stati il malware di tipo AutoRun (Generic!atr), i trojan di tipo banking o downloader (PWS or Generic.dx), o anche gli exploit  web-based (StartPage and Exploit-MS04-028), perlomeno si è registrato un leggero abbassamento dei livelli di spam, che sebbene rappresenti ancora l’80% di tutti i messaggi di posta elettronica, si è comunque attestato ai livelli del 1 trimestre 2007. Questo periodo di transizione è verosimilmente dovuto al letargo di alcune botnet (ad esempio Rustock, Letic e Xarvester) e alla chiusura di altre (ad esempio Bredolab o in parte Zeus). In questo trimestre, al vertice delle reti di macchine compromesse si sono posizionate Bobax e Grum.

Se aumentano gli apparati aumentano le minacce web

In base ai dati dell’ultimo trimestre 2010, in cui  i domini malevoli sono cresciuti velocemente grazie alle minacce più attive del calibro di Zeus, Cornficker e Koobface; McAfee rivela che le i vettori di infezione basati sul web continueranno a crescere in dimensioni e complessità , di pari passo con il crescere degli apparati eterogenei che accedono alla rete.

Ovviamente non poteva mancare il phishing e il malvertising e SEO Poisoning in virtù del quale McAfee Labs rivela che all’interno dei primi 100 risultati delle principali ricerche quotidiane, il 51% conduce l’ignaro navigatore verso siti poco sicuri che contengono più di cinque link malevoli. Non è un caso che il produttore rosso preveda che gli attacchi facenti uso di tecniche di manipolazione dei risultati dei motori di ricerca cresceranno notevolmente nel 2011, focalizzandosi soprattutto (tanto per cambiare) ai dispositivi di nuova generazione.

Le vulnerabilità Adobe come mezzo di distribuzione del malware

Nel corso del 2010 le vulnerabilità dei prodotti Adobe (Flash e PDF), inseparabili compagni di navigazione, sono stati il mezzo principale di distribuzione del malware preferito dai Cybercriminali. C’e’ da aspettarsi una inversione di tendenza per il 2011? Nemmeno per idea, almeno secondo McAfee che prevede, per quest’anno, una prosecuzione del trend, anche a causa del supporto per le varie tecnologie Adobe, da parte dei dispositivi mobili e dei sistemi operativi non Microsoft.


Anche l’hactivism vedrà la sua azione proseguire nel 2011 dopo i botti di fine anno compiuti dal gruppo Anonymous, (e anche il Governo Italiano ne sa qualcosa in questi giorni. Anzi, secondo il produttore dichiara che il confine tra hactivism e cyberwarfare diventerà sempre più confuso.


Get every new post delivered to your Inbox.

Join 2,705 other followers